Vulnerabilidad de denegación de servicio (DoS) en OpenSSL

Se han publicado actualizaciones de seguridad que subsanan una vulnerabilidad de severidad alta en OpenSSL, por la que un error podría provocar un bucle infinito, permitiendo así a un atacante realizar denegación de servicio (DoS).

Las versiones afectadas en OpenSSL son:

• OpenSSL, versión 1.0.2.
• OpenSSL, versión 1.1.1.
• OpenSSL, versión 3.0.

Recomendamos instalar las actualizaciones correspondientes provistas por OpenSSL, mediante los siguientes enlaces, según su distribución:

Open 1.0.2zd, está disponible para clientes de soporte premium:

• https://www.openssl.org/support/contracts.html

OpenSSL, versión 1.1.1n:

• https://www.openssl.org/source/openssl-1.1.1n.tar.gz

OpenSSL, versión 3.0.2:

• https://www.openssl.org/source/openssl-3.0.2.tar.gz

Se ha elaborado un boletín con informacion detallada acerca de esta vulnerabilidad disponible en el siguiente enlace.

Referencias:

• BOL-CERT-PY-2022-18 Vulnerabilidad de denegacion de servicio DoS en OpenSSL
• https://www.openssl.org/news/secadv/20220315.txt
• https://nvd.nist.gov/vuln/detail/CVE-2022-0778
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/bucle-infinito-openssl
• https://www.openssl.org/source/